Realst Mac Malware

Egy új, Realst nevű rosszindulatú program jelent meg egy hatalmas támadási kampány részeként, amely kifejezetten az Apple számítógépeit célozza meg. Ami még ennél is aggasztóbb, hogy néhány legújabb verzióját a macOS 14 Sonoma, egy még fejlesztési szakaszban lévő operációs rendszer kihasználására adaptálták.

Ennek a kártevőnek a terjesztése nem korlátozódik a macOS-felhasználókra, hanem Windows-eszközöket is céloz. A támadók ravaszul hamis blokklánc-játékoknak álcázzák a kártevőt, és olyan neveket adnak nekik, mint Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles és SaintLegend.

Hogy az áldozatokat rávegyék a fenyegető szoftver letöltésére, ezeket a hamis játékokat erősen reklámozzák a közösségi médiában. A fenyegetés szereplői közvetlen üzenetekkel osztják meg a hamis játékkliens kapcsolódó webhelyekről történő letöltéséhez szükséges hozzáférési kódokat. E hozzáférési kódok használatával a támadók gondosan kiválaszthatják célpontjaikat, és elkerülhetik, hogy a biztonsági kutatók észleljék a nem biztonságos tevékenységeiket.

A feltételezett játéktelepítők információgyűjtő kártevőkkel fertőzik meg az áldozatok eszközeit. A fenyegetések arra specializálódtak, hogy érzékeny adatokat gyűjtsenek az áldozat webböngészőiből és kriptovaluta pénztárca alkalmazásaiból, és az összegyűjtött információkat közvetlenül a fenyegetés szereplőinek küldjék el.

A kutatók elsősorban a Realst malware macOS verzióira összpontosítottak, és legalább 16 változatot fedeztek fel, amelyek között jelentős különbségek vannak, ami folyamatos és gyors ütemű fejlesztési folyamatot jelez.

A Realst macOS-lopó fenyegetés támadási lánca

Amikor a felhasználók letöltik a hamis játékot a fenyegetőző webhelyéről, operációs rendszerüktől függően különböző rosszindulatú programokkal találkoznak – akár Windows, akár macOS. A Windows-felhasználók számára a leggyakoribb rosszindulatú program a RedLine Stealer . Időnként azonban más rosszindulatú programok, például a Raccoon Stealer és az AsyncRAT is érintettek lehetnek.

Másrészt a Mac felhasználók megfertőződnek a Realst információlopó malware-rel, amely PKG-telepítőknek vagy DMG-lemezfájloknak van álcázva. Ezek a fájlok azt állítják, hogy játéktartalmat tartalmaznak, de valójában csak nem biztonságos Mach-O fájlokat tartalmaznak valódi játékok vagy legális szoftverek nélkül.

A rosszindulatú összetevők közül a „game.py” fájl többplatformos Firefox információlopóként szolgál. Ugyanakkor az "installer.py" "chainbreaker" címkével rendelkezik, amely jelszavak, kulcsok és tanúsítványok kinyerésére szolgál a macOS kulcstartó adatbázisából.

A biztonsági eszközök általi észlelés elkerülése érdekében néhány mintát korábban érvényes (de már visszavont) Apple Developer ID-k vagy ad-hoc aláírások felhasználásával kódoltak. Ez a taktika lehetővé teszi, hogy a rosszindulatú program túllépjen a biztonsági intézkedéseken, és rejtve maradjon.

Számos Realst malware-verziót tártak fel támadások során

Eddig a Realst 16 különböző változatát azonosították. Bár szerkezetükben és funkciójukban jelentős hasonlóságokat mutatnak, a változatok különböző API-híváskészleteket alkalmaznak. Ettől függetlenül a kártevő kifejezetten olyan böngészőket céloz meg, mint a Firefox, Chrome, Opera, Brave, Vivaldi és a Telegram alkalmazás. Úgy tűnik, hogy az elemzett Realst minták egyike sem célozza meg a Safarit.

E változatok többsége az osascript és az AppleScript hamisítási technikák használatával próbálja megszerezni a felhasználó jelszavát. Ezenkívül alapvető ellenőrzéseket hajtanak végre annak biztosítására, hogy a gazdagép nem virtuális gép, a sysctl -n hw.model használatával. Az összegyűjtött adatok ezután egy „data” nevű mappában tárolódnak, amely a kártevő verziójától függően különböző helyeken található: vagy a felhasználó saját mappájában, a kártevő munkakönyvtárában vagy a szülőjátékról elnevezett mappában.

A kutatók ezt a 16 különböző változatot négy fő családba sorolták: A, B, C és D, megkülönböztető tulajdonságaik alapján. Az A, B és D családból származó minták körülbelül 30%-a tartalmaz olyan karakterláncokat, amelyek a közelgő macOS 14 Sonoma rendszert célozzák. Ez azt jelzi, hogy a kártevők szerzői már készülnek az Apple közelgő asztali operációs rendszerének kiadására, biztosítva a Realst kompatibilitását és optimális működését.

Tekintettel erre a fenyegetésre, a macOS-felhasználóknak azt tanácsolják, hogy óvatosan járjanak el a blokklánc-játékokkal, mivel a Realst terjesztői kihasználják a Discord csatornákat és az „ellenőrzött” Twitter-fiókokat, hogy a legitimitás megtévesztő illúzióját keltsék. Az éberség és a játékletöltések forrásának ellenőrzése segíthet az ilyen fenyegető szoftverekkel szemben.